Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
hatten. Ziel von Angriffen waren insbesondere Telekom-K<strong>und</strong>en. Die Angreifer benutzten<br />
gewöhnliche Netwerkscanner, die große Bereiche von den DIAL-IN IP-Adressen von<br />
Providern nach bestimmten Ports abscannten (137-139). Diese Werkzeuge überprüften<br />
auch, ob die Festplatte c: beschreibbar war oder nicht. So gelingt es auch heute noch,<br />
innerhalb weniger Minuten eine große Anzahl von möglichen Opfern mit BO zu infizieren.<br />
Da die Arbeitsstationen einen Neustart durchführen müssen, verliert sich deren IP -<br />
Nummer. Deswegen muß der Angreifer die sich neu eingewählenden Rechner mit einem<br />
BO-Scanner auf das Vorhandensein von BO erneut scannen. Danach kann der Angreifer<br />
mit automatisierten Werkzeugen alle .doc - Dateien aus dem Verzeichnis<br />
c:\eigene_dateien o.ä. Auf einen Internet-Server kopieren, in ASCII umwandeln <strong>und</strong> nach<br />
bestimmten Begriffen durchsuchen, z.B. einem Firmennamen oder typischen Floskeln, wie<br />
sie im geschäftlichen Briefverkehr benutzt werden. Diese Arbeitsstation schaut sich der<br />
Angreifer dann genauer an <strong>und</strong> versucht, auf anderen Laufwerksbuchstaben .doc<br />
Dateien zu finden. Die Wahrscheinlichkeit, daß ein Angreifer , von irgendeiner Firma<br />
plötzlich sämtliche Dokumente des Chefs oder der Sekretärin auf seiner Festplatte hat, ist<br />
äußerst hoch. Ein Surfer kann sich nicht mehr in der Anonymität der unzähligen DIAL-IN<br />
Netzwerkadressen großer Provider verstecken. Das große Problem bei BO ist, daß es mit<br />
124 KByte relativ unauffällig ist, <strong>und</strong> zudem im Taskmanager nicht erscheint. Einige BO-<br />
Scanner, die man im Internet findet, sind in Wirklichkeit BO - Installationsprogramme. BO<br />
<strong>und</strong> sein Bruder NetBUS sind inzwischen im Quellcode verfügbar <strong>und</strong> funktionieren<br />
inzwischen über <strong>Firewall</strong>s hinweg, sofern diese von UDP auf TCP Protokoll<br />
umgeschrieben wurden. BO Scanner finden nur den ursprünglichen BO.EXE, nicht aber<br />
die neukompilierten Derivate von BO.<br />
23.17 Probleme beim Download von Software aus dem Internet<br />
Als erste Regel gilt: Niemals Software oder Updates aus einer nicht vertrauenswürdigen<br />
Quelle herunterladen. Problematisch wird diese Aussage, wenn man sich bewußt macht,<br />
daß alle großen <strong>und</strong> kleinen Anbieter aus Kostengründen mit (transparenten) PROXY-<br />
CACHES arbeiten, deren Anwesenheit gar nicht mehr zu bemerken ist (CISCO SILENT<br />
PROXY, SQUID im "silent mode"). Da dieser PROXY ja nur frei zugängliche Daten aus<br />
dem Internet zwischen speichert, legen die Systemoperatoren auch keinerlei Wert auf die<br />
Absicherung dieses Servers gegen Angreifer. Abgesehen davon ist dieser PROXY-Server<br />
auch nicht durch eine <strong>Firewall</strong> zu sichern, da einfach zu viele Verbindungen zu<br />
kontrollieren wären. Die Performance würde arg leiden. Angreifer machen sich diese<br />
Tatsache dadurch zunutze, indem sie die PROXY-CACHE S mit manipulierten<br />
Treibern/Updates/Software füttern <strong>und</strong> somit ganz sicher sein können, daß der<br />
Systemoperator auch garantiert eine Version erhält, die seinen Server<br />
sicherheitstechnisch in Mitleidenschaft zieht, oder die <strong>Firewall</strong> von innen "pierct".<br />
24. Trojanische Pferde der gemeinen Art<br />
Für die Sicherheit eines Unternehmens ist es enorm wichtig, daß keinerlei Informationen<br />
über die <strong>Firewall</strong> in das Internet versendet werden. Schwierig wird es, wenn man<br />
Anwendungsprogramme danach beurteilen soll, ob <strong>und</strong> wie sie Informationen über z.B.<br />
den WWW-Proxy oder das e-Mail Gateway in das Internet versenden. Gr<strong>und</strong>lage ist stets<br />
die Vertrauenswürdigkeit der Softwarequelle. Wie im Januar 1998 aufgedeckt wurde, hat<br />
ein Cracker in die Site von Wietse Venema der Universität Eindhoven eingebrochen, <strong>und</strong><br />
den TCPWRAPPER, ein wichtiges Sicherheitswerkzeug zur Absicherung von vielen UNIX-<br />
Derivaten mit einem schwierig zu entdeckendem Zugangstor zum System versehen. Der<br />
Cracker hätte sich somit stets als Supervisor in das System einloggen können. Leider<br />
wurden auch die Prüfsummen (MD5) mit angepaßt, sodaß auch die übliche Überprüfung<br />
des MD5 Schlüssels keine Sicherheit mehr hätte garantieren können. Nur der Autor des<br />
Programmes war in der Lage, diesen Einbruch <strong>und</strong> die Veränderungen zu entdecken. Da<br />
beim Download aus dem Internet <strong>für</strong> einen Systemadministrator weder erkennbar ist, ob<br />
<strong>und</strong> wie der WWW-Server abgesichert ist, <strong>und</strong> ob deren Inhalte auch unversehrt sind,<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins